Puede asignar funciones a usuarios o grupos de usuarios si VMware Identity Manager™ está integrado con NSX-T Data Center o si tiene LDAP como proveedor de autenticación. También puede asignar funciones a las identidades principales.
- Nombre
- Identificador de nodo: puede ser cualquier valor alfanumérico asignado a una identidad principal
- Certificado
- Función RBAC que indica los derechos de acceso de esta entidad de seguridad
Los usuarios (identidad local, remota o de entidades de seguridad) con la función de administrador empresarial pueden modificar o eliminar objetos que sean propiedad de las identidades de entidades de seguridad. Los usuarios (identidad local, remota o de entidades de seguridad) sin la función de administrador empresarial no pueden modificar ni eliminar objetos protegidos que sean propiedad de las identidades de entidades de seguridad, pero pueden modificar y eliminar objetos no protegidos.
Si el certificado de un usuario de identidad de entidad de seguridad caduca, debe importar un certificado nuevo y hacer una llamada API para actualizar el certificado de ese usuario (consulte el procedimiento a continuación). Para obtener más información sobre la API de NSX-T Data Center, acceda al vínculo del recurso de API disponible en la Guía de la API de NSX-T Data Center en https://code.vmware.com/.
- Basado en SHA256.
- Algoritmo de mensaje RSA/DSA con un tamaño de clave mínimo de 2048 bits.
- No puede ser un certificado raíz.
Puede eliminar una identidad principal mediante la API. Sin embargo, la eliminación de una identidad principal no elimina automáticamente el certificado correspondiente. Debe eliminar el certificado manualmente.
- Consulte los detalles de la identidad principal que desea eliminar y anote el valor de certificate_id en la respuesta.
GET /api/v1/trust-management/principal-identities/<principal-identity-id>
- Elimine la identidad principal.
DELETE /api/v1/trust-management/principal-identities/<principal-identity-id>
- Elimine el certificado utilizando el valor de certificate_id obtenido en el paso 1.
DELETE /api/v1/trust-management/certificates/<certificate_id>
Para LDAP, debe configurar los grupos de usuarios con la información de asignación de funciones de usuario; los grupos se corresponden con los grupos de usuarios especificados en Active Directory (AD). Para conceder permisos a un usuario en NSX-T Data Center, agregue ese usuario al grupo asignado en AD.
Requisitos previos
Debe tener un proveedor de autenticación configurado:
- Para la asignación de funciones para vIDM, compruebe que un host de vIDM esté asociado con NSX-T Data Center. Para obtener más información, consulte Configurar la integración de VMware Identity Manager/Workspace ONE Access.
- Para la asignación de funciones para LDAP, compruebe que tiene un origen de identidad de LDAP. Para obtener más información, consulte Agregar identidad de LDAP.
Procedimiento
- Con privilegios de administrador, inicie sesión en NSX Manager.
- Seleccione .
- Para asignar funciones a los usuarios, seleccione
.
- Seleccione un usuario o un grupo de usuarios.
- Seleccione una función.
- Haga clic en Guardar.
- Para agregar una identidad principal, seleccione
.
- Introduzca un nombre para la identidad principal.
- Seleccione una función.
- Escriba un identificador de nodo.
- Introduzca un certificado en formato PEM.
- Haga clic en Guardar.
- Para agregar una asignación de función para LDAP, seleccione
.
- Seleccione un dominio.
- Introduzca los primeros caracteres del nombre del usuario, el identificador de inicio de sesión o un nombre de grupo para buscar en el directorio LDAP y, a continuación, seleccione un usuario o un grupo de la lista que aparece.
- Seleccione una función.
- Haga clic en Guardar.
- Opcional: si utiliza NSX Cloud, inicie sesión en el dispositivo de CSM en lugar de en NSX Manager y repita los pasos del 1 al 4.
- Si el certificado de la identidad de entidad de seguridad vence, realice los siguientes pasos. No use este procedimiento para reemplazar certificados de identidad principal de Local Manager o Global Manager. En su lugar, para reemplazar los certificados, consulte Reemplazar certificados para obtener más información.
- Importe un certificado nuevo y anote el identificador del certificado. Consulte Importar un certificado autofirmado o firmado por una entidad de certificación.
- Haga la siguiente llamada API para obtener el identificador de la identidad de entidad de seguridad.
GET https://<nsx-mgr>/api/v1/trust-management/principal-identities
- Haga la siguiente llamada API para actualizar el certificado de la identidad de entidad de seguridad. Debe proporcionar el identificador del certificado importado y el identificador del usuario de identidad de entidad de seguridad.
Por ejemplo,
POST https://<nsx-mgr>/api/v1/trust-management/principal-identities?action=update_certificate { "principal_identity_id": "ebd3032d-728e-44d4-9914-d4f81c9972cb", "certificate_id" : "abd3032d-728e-44d4-9914-d4f81c9972cc" }